![]()
필자는 현재 모 회사에 정보보호팀으로 재직중인 직원이다. 정보보호팀으로 매년 당사 자산에 대한 컨설팅을 받고 있는데, 매년 취약점 건수가 줄어들지가 않는다. 인프라 또는 개발팀에서는 컨설팅 받을 때 조치하고, 컨설팅을 끝나면 다시 취약한 상태로 변경해서 운용을 하곤 있는데, 당최 회사에 있는 시스템 및 솔루션으로는 이러한 변경 내역을 모두 파악할 수가 없다.. 아주아주 힘들다. 근데 AWS에서는 AWS CONFIG 서비스를 통해 Resource를 평가하고, 이를 추적관리하기 위한 아주 좋은 서비스가 있어서 소개한다. AWS CONFIG 서비스란? AWS Resource를 특정 정책 (기준) 준수 여부를 파악/평가하고 변경내역 등을 기록 모니터링할 수 있는 일종의 감사 서비스이다. 추가로 아래와 같이 AW..
![]()
오늘 AWS Secworkshop을 실습하다가, VPC를 보니 Security Group에 EC2의 보안 그룹 ID가 들어가있는걸 보았다. Security Group을 해당 서비스에 대한 Firewall으로 인식하고 있었기에 당연히 IP/Port가 들어가 있어야 될거 같았는데 EC2의 보안 그룹 ID가 들어가있어서 내용을 좀 찾아보았다!! 결론부터 말하면, 이는 특정 IP에 대해서 허용해주는 의미가 아니라 해당 Security Group을 통과해온 Resource에 대해서는 허용해주겠다는 의미이다!! 주인장도 처음에는 이해가 잘 되지 않아서 아래와 같이 나름의 가상의 시나리오를 세워보았다. □ 가상 시나리오 A 서비스는 외부에 Open 되어 있는 웹서비스를 제공하고 있고, ELB를 통해 서비스가 이중화 ..
![]()
Zero Trust architecture for service-to-service workloads (workshops.aws) Workshop Studio catalog.us-east-1.prod.workshops.aws 어떤 이유에서인지.. Zero Trsut의 CloudFormtation이 자꾸 Error가 발생하여, 실습은 하지 않고 개념에 대해서만 알아보자!! - ZeroTrsut는 2020년 보안 워크샵을 가면 항상 설명을 들었었는데, 그때는 관심없게 지나가다가 이제 정리해보자! Zero Trust 란? 말 그대로 아무도 믿을 수 없는 관계를 뜻한다. 전통적인 Infra 환경에서는 크게 "외부"은 위험한 영역이고, "내부"은 안전한 영역으로 이분법적인 사고를 갖는다. 하지만, "내부" 이라고..
![]()
[Secworkshop] Protecting workloads on AWS :: 평범한 직장인의 평범한 블로그 (tistory.com) [Secworkshop] Protecting workloads on AWS Scenario - Protecting Workloads on AWS from the Instance to the Edge (awssecworkshops.com) Scenario - Protecting Workloads on AWS from the Instance to the Edge Protecting workloads on AWS from th.. dobby-isfree.tistory.com AWS Secworkshop로 테스트를 하고 있었는데 어떤 미상의 공격자에게 Web Exploit ..
![]()
Scenario - Protecting Workloads on AWS from the Instance to the Edge (awssecworkshops.com) Scenario - Protecting Workloads on AWS from the Instance to the Edge Protecting workloads on AWS from the Instance to the Edge Welcome to the AWS Protecting Workloads Workshop! In this workshop, you will build an environment consisting of two Amazon Linux web servers behind an application load balancer. ..
![]()
AWSSecworkshop에서 WAF를 다루는 실습이 있기에 먼저 WAF 개념과 어떤 기능이 있는지 알아보자! -Scenario - Protecting Workloads on AWS from the Instance to the Edge (awssecworkshops.com) 기본적으로 WAF란 무엇인가? WAF는 Web Application Fireware의 약자로 일반적인 IP/Port 기반의 방화벽과 다르게 Web Application에 특화 된 방화벽 솔루션으로 이해하면 된다. 방화벽과 비슷하지만, OWASP TOP 10의 Web에 조금 더 특화 된 네트워크 솔루션으로 이해하면 된다. 일반적으로 WEB으로 트래픽이 인입 되기 이전에 WAF가 존재하며, 우아한 경제들에서는 위와 같이 구성했다. 클라우..
![]()
AWS Serverless Cognito Workshop (workshops.aws)두번째 실습을 해보자! Workshop Studio catalog.us-east-1.prod.workshops.aws 먼저 제목에 나와 있듯이 이번 workshop에서는 Cognito를 이용하는것이고, Cognito가 가장 중요하다! 이번 workshop을 하면서 Cognito를 처음 접해보았고, Cognito 개념은 별도 정리해두었다. AWS Cognito 서비스 개념 :: 평범한 직장인의 평범한 블로그 (tistory.com) AWS Cognito 서비스 개념 AWSSecworkshop IAM 두번째 workshop에서 AWS Congnito 내용이 나오기에, 미리 알아보자 - AWS Identity: Using Am..
![]()
AWSSecworkshop을 해보니, AWS API Gateway를 이용한 Cognito 서비스 실습이 있다. 가장 베스트는 Cognito 서비스를 이용하는 것이 방법이겠지만, 무슨 이유에선지 Cognito APP Client ID가 unable 하다. 알람만 발생하고 그 다음 단계로 넘어갈 수 없어서 이론적인 부분에 대해서만 AWS API Gateway를 알아보기로 했다!! AWS API Gateway 란? 쉽게 말하면 API 흐름을 제어함으로써 인증/로깅 등에 대한 서비스를 제공해주는 AWS Managed Service이다. 가장 좋은? 타 서비스와의 차별점은 serverless 서비스라는 것이 특징이다. 보통 AWS Lambda 와 함께 이용하여 RESTFul API 서비스를 제공하는것에 많이 쓰인..
![]()
AWSSecworkshop IAM 두번째 workshop에서 AWS Congnito 내용이 나오기에, 미리 알아보자 - AWS Identity: Using Amazon Cognito for serverless consumer apps AWS Cognito란? - 쉽게 말하면 AWS 서비스를 외부 웹(Facebook, Apple 등)의 기타 서비스와 회원가입 또는 로그인을 연동하는 서비스이다. - NAC 기타 다른 보안솔루션이 User Login ID(Token)을 통해 사용자 로그인을 연동하는 것과 같은 개념이다. AWS Cognito는 크게 1)사용자 Pool 2) 자격 증명 Pool 2가지로 구성된다. 1) AWS Cognito 사용자 Pool이란? - 말 그대로 AWS에 로그인 또는 사용자 관리 할..
